你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure 防火墙保护 Office 365

可以使用 Azure 防火墙内置的服务标记和 FQDN 标记来允许与 Office 365 终结点和 IP 地址进行出站通信。

注意

仅 Azure 防火墙策略支持 Office 365 服务标记和 FQDN 标记。 经典规则不支持它们。

标记创建

对于每个 Office 365 产品和类别，Azure 防火墙会自动检索所需的终结点和 IP 地址，并相应地创建标记：

• 标记名称：所有名称以 Office365 开头，后跟：
  • 产品：Exchange / Skype / SharePoint / Common
  • 类别：优化/允许/默认
  • 必需/不必需（可选）
• 标记类型：
  • FQDN 标记仅代表通过 HTTP/HTTPS（端口 80/443）通信的特定产品和类别所需的 FQDN，并且可以在应用程序规则中用来保护这些 FQDN 和协议的流量。
  • 服务标记仅表示特定产品和类别所需的 IPv4 地址和范围，可在网络规则中用来保护发到这些 IP 地址和任何所需端口的流量。

在以下情况下，你应接受可用于产品、类别和必需/不必需的特定组合的标记：

• 对于服务标记 - 此特定组合存在，并且列出了所需的 IPv4 地址。
• 对于 FQDN 规则 - 此特定组合存在，并且列出了与端口 80/443 通信所需的 FQDN。

标记通过对所需 IPv4 地址和 FQDN 的任何修改自动更新。 如果添加了产品和类别的新组合，将来也可能会自动创建新标记。

网络规则集合：

应用程序规则集合：

规则配置

这些内置标记提供粒度，允许并保护出站流量去往 Office 365，具体取决于你的首选项和使用情况。 只能允许向特定源的特定产品和类别发送出站流量。 还可以使用 Azure 防火墙高级版的 TLS 检查和 IDPS 来监视某些流量。 例如，发向默认类别中的终结点的可视为正常 Internet 出站流量的流量。 有关 Office 365 终结点类别的详细信息，请参阅新 Office 365 终结点类别。

创建规则时，请确保为网络规则定义所需的 TCP 端口，为应用程序规则定义 Office 365 要求的协议。 如果产品、类别和必需/不必需的特定组合同时具有服务标记和 FQDN 标记，则应为这两个标记创建具有代表性的规则，以完全涵盖所需的通信。

限制

如果产品、类别和必需/不必需的特定组合仅需要 FQDN，但使用不是 80/443 的 TCP 端口，则不会为此组合创建 FQDN 标记。 应用程序规则只能涵盖 HTTP、HTTPS 或 MSSQL。 若要允许与这些 FQDN 通信，请使用这些 FQDN 和端口创建自己的网络规则。 有关详细信息，请参阅在网络规则中使用 FQDN 筛选。

后续步骤

• 有关详细信息，请参阅使用 Azure 防火墙保护 Office 365 和 Windows 365。
• 详细了解 Office 365 网络连接：Microsoft 365 网络连接概述